Tính năng Giảm bề mặt tấn công trong Windows Defender

Mục lục:

Tính năng Giảm bề mặt tấn công trong Windows Defender
Tính năng Giảm bề mặt tấn công trong Windows Defender

Video: Tính năng Giảm bề mặt tấn công trong Windows Defender

Video: Tính năng Giảm bề mặt tấn công trong Windows Defender
Video: Firefox Hidden Features - YouTube 2024, Tháng Ba
Anonim

Giảm bề mặt tấn công là một tính năng của Windows Defender Exploit Guard ngăn chặn các hành động được sử dụng bởi phần mềm độc hại khai thác tìm kiếm để lây nhiễm các máy tính. Windows Defender Exploit Guard là một bộ khả năng phòng chống xâm lược mới mà Microsoft đã giới thiệu như một phần của Windows 10 v1709. Bốn thành phần của Windows Defender Exploit Guard bao gồm:

  • Bảo vệ mạng
  • Truy cập thư mục được kiểm soát
  • Bảo vệ khai thác
  • Giảm bề mặt tấn công

Một trong những khả năng chính, như đã đề cập ở trên, là Giảm bề mặt tấn công, bảo vệ chống lại các hành động phổ biến của phần mềm độc hại tự thực thi trên các thiết bị Windows 10.

Hãy hiểu giảm Surface Attack là gì và tại sao nó lại quan trọng như vậy.

Tính năng giảm độ tấn công của Windows Defender Attack Surface

Email và các ứng dụng văn phòng là phần quan trọng nhất trong năng suất của bất kỳ doanh nghiệp nào. Đây là cách dễ nhất để kẻ tấn công mạng truy cập vào máy tính và mạng của họ và cài đặt phần mềm độc hại. Tin tặc có thể trực tiếp sử dụng các macro văn phòng và tập lệnh để trực tiếp thực hiện các hoạt động khai thác hoàn toàn trong bộ nhớ và thường không thể phát hiện được bằng các bản quét Antivirus truyền thống.

Điều tồi tệ nhất là, để phần mềm độc hại có được mục nhập, nó chỉ đưa người dùng bật macro trên tệp Office hợp pháp hoặc mở tệp đính kèm email có thể làm hỏng máy.

Đây là nơi mà Attack Surface Reduction đến để giải cứu.

Ưu điểm của giảm bề mặt tấn công

Attack Surface Reduction cung cấp một bộ thông minh tích hợp có thể chặn các hành vi cơ bản được các tài liệu độc hại này sử dụng để thực thi mà không cản trở các kịch bản sản xuất. Bằng cách ngăn chặn các hành vi nguy hiểm, độc lập với những gì mà mối đe dọa hoặc khai thác là, Attack Surface Reduction có thể bảo vệ các doanh nghiệp trước khi nhìn thấy các cuộc tấn công zero-day, và cân bằng các nguy cơ bảo mật và các yêu cầu về năng suất.

Image
Image

ASR bao gồm ba hành vi chính:

  1. Ứng dụng văn phòng
  2. Kịch bản và
  3. Email

Đối với ứng dụng Office, quy tắc Giảm bề mặt tấn công có thể:

  1. Chặn ứng dụng Office tạo nội dung có thể thực thi
  2. Chặn các ứng dụng Office từ việc tạo quy trình con
  3. Chặn các ứng dụng Office từ tiêm mã vào một quá trình khác
  4. Chặn nhập khẩu Win32 từ mã macro trong Office
  5. Chặn mã macro bị làm mờ

Nhiều macro văn phòng độc hại có thể lây nhiễm sang PC bằng cách tiêm và khởi chạy các tệp thi hành. Giảm bề mặt tấn công có thể bảo vệ chống lại điều này và cũng từ DDEDownloader mà gần đây đã lây nhiễm các máy tính trên toàn thế giới. Khai thác này sử dụng cửa sổ bật lên Dynamic Data Exchange trong tài liệu chính thức để chạy trình tải xuống PowerShell trong khi tạo quy trình con mà quy tắc ASR chặn hiệu quả!

Đối với kịch bản, quy tắc Giảm bề mặt tấn công có thể:

  • Chặn mã JavaScript, VBScript và PowerShell độc hại đã bị làm mờ
  • Chặn JavaScript và VBScript thực thi tải trọng tải xuống từ internet

Đối với email, ASR có thể:

Thực thi khối nội dung thực thi được giảm từ email (webmail / mail-client)

Bây giờ một ngày, đã có một sự gia tăng tiếp theo trong spear-phishing và thậm chí là một email cá nhân của nhân viên được nhắm mục tiêu. ASR cho phép quản trị viên doanh nghiệp áp dụng chính sách tệp trên email cá nhân cho cả webmail và ứng dụng thư trên thiết bị của công ty để bảo vệ khỏi các mối đe dọa.

Cách hoạt động của Surface Attack giảm

ASR hoạt động thông qua các quy tắc được xác định bởi ID quy tắc duy nhất của chúng. Để định cấu hình trạng thái hoặc chế độ cho mỗi quy tắc, chúng có thể được quản lý bằng:

  • Chính sách nhóm
  • PowerShell
  • MDSP CSP

Chúng có thể được sử dụng khi chỉ có một số quy tắc được bật hoặc quy tắc phải được bật ở chế độ riêng lẻ.

Đối với bất kỳ dòng ứng dụng doanh nghiệp nào đang chạy trong doanh nghiệp của bạn, có khả năng tùy chỉnh loại trừ dựa trên tệp và thư mục nếu ứng dụng của bạn bao gồm các hành vi bất thường có thể bị ảnh hưởng bởi phát hiện ASR.

Giảm bề mặt tấn công yêu cầu Windows Defender Antivirus trở thành AV chính và yêu cầu bật tính năng bảo vệ thời gian thực. Windows 10 Security Baseline cho thấy hầu hết các quy tắc trong chế độ khối được đề cập ở trên nên được kích hoạt để bảo vệ thiết bị của bạn khỏi mọi mối đe dọa!

Để biết thêm, bạn có thể truy cập docs.microsoft.com.

Bài viết liên quan:

  • Cách cấu hình Windows Defender Exploit Guard (WDEG) trong Windows 10
  • Bề mặt 3 thông số kỹ thuật, giá cả. So sánh với Surface Pro 3
  • Apple iPad và máy tính bảng Microsoft Surface RT - Battle for Glory!
  • Đặc điểm kỹ thuật của Surface Pro 3, các tính năng, hình ảnh và video
  • Surface Team trả lời các câu hỏi về máy tính bảng Surface

Đề xuất: